Çok faktörlü kimlik doğrulamanın işe yaradığı kanıtlandı, peki daha ne bekliyoruz?


Amazon, yakın gelecekte tüm ayrıcalıklı AWS’lerin MFA kullanmasını gerektireceğini duyurdu. Umarız diğerleri de takip eder.

Amazon yakın zamanda, 2024 ortasından itibaren tüm ayrıcalıklı Amazon Web Hizmetleri (AWS) hesaplarının çok faktörlü kimlik doğrulamayı (MFA) kullanmasını zorunlu kılacağını duyurdu.

Düzenli okuyucularımız, özellikle önemli hesaplarınız için şifrelerin tek başına yeterli koruma sağlamadığını düşündüğümüzü bileceklerdir. Dolayısıyla bu konuda Amazon’a tüm kalbimizle katılıyoruz.

Çok faktörlü kimlik doğrulama, tek başına parola kullanmaktan çok daha güvenli ve dolayısıyla çok daha bağışlayıcıdır. Tavsiye etmem ama şifrenizi bir Post-It’e yazıp monitörünüze yapıştırmanız, eğer MFA’nızı doğru kurduysanız saldırganın hiçbir işine yaramaz. Ayrıca önerilmez, ancak tüm hesaplarınız MFA’nın sunduğu en iyi özelliklerle korunduğu sürece zayıf şifrenizi her sitede yeniden kullanabilirsiniz.

Bu cümlenin son kısmı olan “MFA’nın sunduğu en iyi şey” önemli. Amazon’un duyurusunda yazdığı gibi:

“Herkesin bir tür MFA’yı benimsemesini tavsiye ediyoruz ve ayrıca müşterileri, güvenlik anahtarları gibi kimlik avına karşı dayanıklı MFA biçimlerini seçmeyi düşünmeye teşvik ediyoruz.”

Buradaki çıkarım, her MFA biçiminin eşit derecede güvenli olmadığıdır. Seçme şansı verildiğinde, en iyi MFA biçimi parola ve donanım anahtarıdır ancak bu, bir donanım anahtarı satın almanız gerektiği anlamına gelir. Lütfen öyle düşünün, çünkü bunlar küçük bir yatırıma değer ve göründükleri kadar korkutucu değiller.

FIDO U2F veya FIDO2/WebAuthn standartlarına uygun güvenlik anahtarları, şu anda artış gösterdiği bildirilen ters proxy ve ortadaki adam saldırılarına karşı doğası gereği dirençlidir.

Henüz bu adımı atmaya hazır değilseniz, MFA’nın bir sonraki en iyi biçimi, telefonunuzda bir bildirimle sizi yönlendiren bir uygulamayı kullanır. Bundan sonraki en iyi sürüm, telefonunuzdaki bir uygulamanın kodunu kullanan MFA’dır ve MFA’nın en az iyi sürümü, SMS yoluyla gönderilen bir kodu kullanır.

Ancak bu en az iyi sürüm bile iyi bir güvenlik sağlıyor.

2019’da Microsoft’tan Alex Weinert, Microsoft’un çalışmalarına dayanarak, MFA kullanırsanız hesabınızın ele geçirilmesi olasılığının %99,9’dan daha az olduğunu yazdı. Bu yıl (2023), Microsoft’tan Tom Burt blog yazdı:

“MFA’yı dağıtmak, kuruluşların saldırılara karşı konuşlandırabileceği en kolay ve en etkili savunmalardan biri olsa da, uzlaşma riskini %99,2 oranında azaltırken, tehdit aktörleri, kullanıcıları MFA bildirimleriyle bombardıman etmek için “MFA yorgunluğundan” giderek daha fazla yararlanıyor. sonunda kabul et ve erişim sağla.”

Siber suçluların uyum sağlamaya başlaması ve en zayıf MFA yöntemlerini atlatmanın yollarını bulması nedeniyle rakamlar biraz azaldı.

Bir MFA yorgunluk saldırısı, diğer adıyla MFA bombalaması veya MFA spam’i, saldırganların tekrar tekrar ikinci faktörlü kimlik doğrulama isteklerini tetiklediği bir sosyal mühendislik stratejisidir. Saldırgan, kullanıcıyı erişime izin verme istekleriyle bombardımana tutar ve amaçlanan kurbanın gürültüden bıkmasını ya da bir hata yapmasını ve gıpta ile bakılan “Evet, o benim” düğmesine basmasını umar.

Yine de %99’un üzerindeki başarı oranı hiç de küçümsenecek bir başarı değil. Ve bu sayı daha iyi MFA ile artacaktır.

Bizi geride tutan şey, bize MFA kullanma olanağı sunan site ve hizmetlerin sayısıdır. Bu nedenle lütfen, eğer bunu yapmıyorsanız, kullanıcılardan birkaç haftada bir değişen daha karmaşık şifreler istemeyi bırakın ve onlar için MFA uygulamaya başlayın. Yalnızca güvenliği artırmakla kalmayacak, aynı zamanda daha iyi bir kullanıcı deneyimi de sağlayacak.

Bir noktada kullanıcılar, hesaplarının kötüye kullanılmasına veya siber suçlular tarafından ele geçirilmesine karşı MFA’yı kullanabilmeyi talep etmelidir ve isteyecektir. Dolayısıyla onlara bu seçeneği sunmak geleceğe hazır olduğunuz anlamına gelir.

Bir kullanıcı olarak başlamanıza yardımcı olmak için burada en çok ziyaret edilen beş web sitesine ilişkin 2FA kurulum talimatlarına bağlantılar verilmiştir:


Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.

ŞİMDİ DENE



Source link